概述
关于模拟特权 要介绍模拟特权,我想首先引用@decoder_it的一句话:“如果你具有了SeAssignPrimaryToken或SeImpersonate特权,那么你就具有了SYSTEM的权限”。显然,这句话说得太过简单,但事实也并非遥不可及。 这两个特权确实非常强大,通过这两个特权,我们可以在其他用户的上下文中运行代码,甚至创建新的进程。如果我们拥有SeImpersonatePrivilege特权,就可以调用CreateProcessWithToken();如果我们拥有SeAssignPrimaryTokenPrivilege特权,就可以调用CreateProcessAsUser()。 在讨论这两个特定的函数,我们首先来看看标准的CreateProcess()函数是什么样的:
前两个参数可以让我们指定要执行的应用程序或命令行。然后,可以调整许多设置,以自定义环境和子进程的安全上下文。最后一个参数是对PROCESS_INFORMATION结构的引用,该函数将在成功执行后返回。其中,包含目标进程和线程的句柄。 现在,让我们来看一下CreateProcessWithToken()和CreateProcessAsUser():
我们看到,这两个函数与标准的CreateProcess()函数并没有太大的区别。但是,它们都需要令牌的句柄。根据文档,hToken必须是“代表用户的主要令牌的句柄”。在文档中还写着,“要获取代表指定用户的主令牌,[...]我们可疑调用DuplicateTokenEx函数将模拟令牌转换为主令牌。这将允许模拟客户端的服务器应用程序创建具有客户端安全上下文的进程。” 当然,在官方文档之中,并没有告诉我们首先要如何获取这个令牌,因为获取令牌并非是这两个函数的功能。但是,文档告诉了我们应该在什么类型的场景中使用它们。这些函数允许服务器应用程序在客户端的安全上下文中创建进程。比如,对于公开RPC/COM接口的Windows服务,这确实是非常普遍的一种实现方式。当我们调用由高特权帐户运行的服务公开的RPC函数时,该服务就有可能调用RpcImpersonateClient(),以在我们的安全上下文中运行某些代码,从而降低了特权提升漏洞的风险。 总而言之,只要我们拥有SeImpersonatePrivilege或SeAssignPrimaryTokenPrivilege特权,就可以在另一个用户的安全上下文中创建一个进程。不过,我们需要的是该用户的令牌。但问题在于——如何使用自定义服务器应用程序来捕获到此类令牌呢?
使用命名管道模拟用户 Potato家族的漏洞利用工具都是基于相同的思想——将网络身份验证从回环TCP终端中继到NTLM协商程序。为了完成这一任务,工具利用IStorage COM接口的某些特殊功能,使NT AUTHORITY\SYSTEM帐户连接,并对其控制的RPC服务器进行身份验证。 在身份验证过程中,所有消息都会在客户端(这里是SYSTEM帐户)与本地NTLM协商程序之间中继。这个协商器只是几个Windows API调用(例如:AcquireCredentialsHandle()和AcceptSecurityContext())的组合,它们通过ALPC与lsass进程进行交互。最后,如果一切顺利,我们将获得原本需要的SYSTEM令牌。 遗憾的是,由于某些核心的更改,该技术目前不再适用于Windows 10操作系统,因为现在仅在TCP/135端口上允许从目标服务到“Storage”的基础COM连接。 我们前面提到过的@decoder_it曾发表过一篇文章,在文章中表示,实际上可以绕过该限制,但是得到的令牌不能用于模拟。 现在,我们来盘点一下有哪些替代方案?RPC并不是在这种中继方案中唯一可以使用的协议,但是我们将不做过多的展开。相反,我们想讨论一种涉及管道的古老技术。正如我在前言中所述,我希望能按照自己的方式来介绍事务,即使大多数人都觉得这些点已经掌握了,但实际上还是能从中掌握到一些基本知识。 根据官方文档记载,“管道是用于通信的进程的共享内存中的一部分。管道服务器是创建管道的进程,而管道客户端则是连接到管道的进程。一个进程负责将信息写入到管道,然后另一个进程从管道读取信息。” 换句话说
最低0.47元/天 解锁文章
2789
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
